المقدمة
يصف هذا وثيقة مثال تشكيل أساسي على كيف أن يتلاقى شبكة نقطة وصول (AP) إلى المادة حفازة 9800 لاسلكي lan جهاز تحكم (WLC).
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- نموذج تكوين Catalyst Wireless 9800
- تشكيل ال{upper}lap
- التحكم في نقاط الوصول اللاسلكية وتوفيرها (CAPWAP)
- تكوين خادم DHCP خارجي
- تكوين محولات Cisco
المكونات المستخدمة
يستخدم هذا المثال نقطة وصول في الوضع Lightweight (1572AP و 1542) يمكن تكوينها إما كنقطة وصول في الوضع Root (RAP) أو نقطة وصول في الشبكة العنكبوتية (MAP) للانضمام إلى وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) طراز Catalyst 9800. الإجراء مطابق لنقاط الوصول 1542 أو 1562. يتم توصيل RAP ب Catalyst 9800 WLC من خلال محول Cisco Catalyst Switch.
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- C9800-CL الإصدار 16.12.1
- محول الطبقة 2 من Cisco
- نقاط الوصول الخارجية خفيفة الوزن للسلسلة Cisco Aironet 1572 Series لقسم الجسر
- Cisco Aironet 1542 لقسم Flex+Bridge
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
التكوين
دراسة الحالة 1: وضع الجسر
التكوينات
يجب مصادقة نقطة وصول الشبكة العنكبوتية لتضم إلى وحدة التحكم 9800. تأخذ دراسة الحالة هذه بعين الاعتبار أن أنت تنضم إلى نقطة الوصول في الوضع المحلي أولا إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) ثم تقوم بتحويلها إلى وضع شبكة Bridge (a.k.a). لتجنب تعيين ملفات تعريف ربط AP، أستخدم هذا المثال ولكن قم بتكوين أسلوب تنزيل بيانات اعتماد اعتماد اعتماد AAA الافتراضي بحيث يتم السماح لأي نقطة وصول شبكة بالانضمام إلى وحدة التحكم.
الخطوة 1: تكوين عناوين MAC لبروتوكول RAP/MAP تحت مصادقة الجهاز.
انتقل إلى التكوين > AAA > AAA Advanced > مصادقة الجهاز.
قم بإضافة عنوان MAC لشبكة الإيثرنت الأساسية لنقاط وصول الشبكة العنكبوتية. قم بإضافته بدون أي حروف خاصة، بدون '.' أو ':'
ملاحظة: اعتبارا من إصدار 17.3.1، إذا تمت إضافة أي من محددات عنوان MAC مثل '.'، ':' أو '-'، لا يمكن لنقطة الوصول الانضمام. هناك حاليا 2 تحسين فتح ل هذا: cisco بق id CSCvv43870 و cisco بق id CSCvr07920. في المستقبل، يقبل 9800 كل تنسيقات عناوين MAC.
الخطوة 2: تكوين قائمة طرق المصادقة والتخويل.
انتقل إلى التكوين > الأمان > AAA > قائمة طرق AAA > المصادقة وإنشاء قائمة طرق المصادقة وقائمة طرق التخويل.
الخطوة 3: تكوين معلمات الشبكة العمومية.
انتقل إلى Configuration> Mesh> Global parameters. في البداية، يمكنك الحفاظ على هذه القيم إلى الوضع الافتراضي.
الخطوة 4: قم بإنشاء ملف تخصيص شبكة جديد تحت التكوين > شبكة > ملف تخصيص > +إضافة.
انقر ملف تخصيص الشبكة الذي تم إنشائه لتحرير الإعدادات العامة والمتقدمة لملف تخصيص الشبكة.
في الرسم التخطيطي كما هو موضح، تحتاج إلى تخطيط ملف تعريف المصادقة والتفويض الذي تم إنشاؤه قبل ذلك على ملف تعريف الشبكة.
الخطوة 5: إنشاء ملف تعريف ربط AP جديد. انتقل إلى تكوين > علامات وتوصيفات: وصل AP.
تطبيق ملف تعريف الشبكة الذي تم تكوينه مسبقا وتكوين مصادقة AP EAP:
الخطوة 6: قم بإنشاء علامة تمييز موقع شبكة كما هو موضح.
شكلت طقطقت ال شبكة مكان علامة يخلق في خطوة 6 أن يشكل هو.
انتقل إلى علامة تبويب الموقع وطبق ملف تعريف ربط نقطة الوصول للشبكة المعشقة الذي تم تكوينه مسبقا عليه:
الخطوة 7. قم بتعيين علامة الموقع إلى نقطة الوصول. انتقل إلى تشكيل > لاسلكي > نقاط الوصول وانقر على نقطة الوصول في الشبكة العنكبوتية. قم بتعيين علامة الموقع.
تعيين علامة موقع
الخطوة 8. تحويل نقطة الوصول إلى وضع الجسر.
عبر واجهة سطر الأوامر (CLI)، يمكنك إستخدام هذا الأمر على نقطة الوصول:
capwap ap mode bridge
تقوم نقطة الوصول بإعادة التمهيد والربط مع بعضها البعض كوضع جسر.
الخطوة 9. يمكنك الآن تحديد دور نقطة الوصول: إما نقطة الوصول الجذر أو نقطة الوصول إلى الشبكة العنكبوتية.
نقطة الوصول الجذر هي تلك التي تحتوي على اتصال سلكي بوحدة التحكم في الشبكة المحلية اللاسلكية (WLC) بينما تنضم نقطة الوصول من الشبكة المعشقة إلى وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) من خلال الراديو الخاص بها الذي يحاول الاتصال بنقطة وصول (AP) أساسية. يمكن لنقطة الوصول للشبكة المعشقة الانضمام إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) عبر الواجهة السلكية الخاصة به بمجرد فشلها في العثور على نقطة وصول أساسية عبر الراديو الخاص بها، لأغراض التوفير. لا تنس أن يعين الشنطة أهلي طبيعي VLAN في ال ap عملية إعداد في حالة هو مختلف من التقصير VLAN 1.
تعيين دور شبكة
التحقق من الصحة
aaa new-model
aaa local authentication default authorization default
!
!
aaa authentication dot1x default local
aaa authentication dot1x Mesh_Authentication local
aaa authorization network default local
aaa authorization credential-download default local
aaa authorization credential-download Mesh_Authz local
username 111122223333 mac
wireless profile mesh Mesh_Profile
method authentication Mesh_Authentication
method authorization Mesh_Authz
wireless profile mesh default-mesh-profile
description "default mesh profile"
wireless tag site Mesh_AP_Tag
ap-profile Mesh_AP_Join_Profile
ap profile Mesh_AP_Join_Profile
hyperlocation ble-beacon 0
hyperlocation ble-beacon 1
hyperlocation ble-beacon 2
hyperlocation ble-beacon 3
hyperlocation ble-beacon 4
mesh-profile Mesh_Profile
استكشاف الأخطاء وإصلاحها
في أستكشاف الأخطاء وإصلاحها > صفحة واجهة مستخدم ويب التتبع المشع، انقر فوق إضافة وأدخل عنوان MAC لنقطة الوصول.
انقر فوق بدء وانتظر نقطة الوصول لمحاولة الانضمام إلى وحدة التحكم مرة أخرى. بمجرد الانتهاء، انقر فوق إنشاء واختر فترة زمنية لجمع السجلات (آخر 10 أو 30 دقيقة على سبيل المثال).
انقر فوق اسم ملف التتبع لتنزيله من المستعرض.
فيما يلي مثال على نقطة الوصول التي لم تنضم نظرا لتعريف اسم طريقة تخويل AAA غير الصحيح :
019/11/28 13:08:38.269 {wncd_x_R0-0}{1}: [capwapac-smgr-srvr] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: DTLS session has been established for AP
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-infra-evq] [23388]: (info): DTLS record type: 23, application data
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: Capwap message received, type: join_request
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: Received CAPWAP join request
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (info): 00a3.8e95.6c40 Ap auth pending
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (ERR): Failed to initialize author request, Reason: Invalid argument
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (ERR): 00a3.8e95.6c40 Auth request init failed
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-db] [23388]: (ERR): 00a3.8e95.6c40 Failed to get wtp record: Get ap tag info
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-db] [23388]: (ERR): 00a3.8e95.6c40 Failed to get ap tag info : Get ap join fail info
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (ERR): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Unmapped previous state in transition S_JOIN_PROCESS to S_END on E_AP_INTERFACE_DOWN
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Terminating AP CAPWAP session.
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (note): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Last Control Packet received 0 seconds ago.
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (note): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Last Data Keep Alive Packet information not available. Data session was not established
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-dtls-sessmgr] [23388]: (info): Remote Host: 192.168.88.48[5272] Sending DTLS alert message, closing session..
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-dtls-sessmgr] [23388]: (info): Remote Host: 192.168.88.48[5272] alert type:warning, description:close notify
2019/11/28 13:08:38.289 {wncmgrd_R0-0}{1}: [ewlc-infra-evq] [23038]: (debug): instance :0 port:38932MAC: 0062.ec80.b1ac
نفس الشيء يمكن رؤيته بسهولة أكثر في لوحة معلومات واجهة مستخدم الويب عندما تنقر نقاط الوصول غير المرتبطة. مصادقة نقطة الوصول المعلقة هي التلميح الذي يشير إلى مصادقة نقطة الوصول نفسها:
دراسة الحالة 2: Flex + Bridge
يسلط هذا القسم الضوء على عملية الانضمام لنقطة الوصول 1542 في وضع Flex+Bridge مع مصادقة EAP التي يتم تنفيذها محليا على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC).
التكوين
- الخطوة 1. انتقل إلى التكوين > الأمان > AAA > AAA Advanced > مصادقة الجهاز.
- الخطوة 2. حدد مصادقة الجهاز وحدد إضافة.
- الخطوة 3. اكتب في عنوان MAC لإيثرنت الأساسي لنقطة الوصول للانضمام إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC). أترك اسم قائمة السمات فارغا، وحدد تطبيق على الجهاز.
- الخطوة 4. انتقل إلى التكوين > الأمان > AAA > قائمة طرق AAA > المصادقة.
- الخطوة 5. حدد إضافة. تظهر نافذة مصادقة AAA المنبثقة.
- الخطوة 6. اكتب اسما في اسم قائمة الطرق. حدد 802.1x من النوع* المنسدل والمحلي ل نوع المجموعة. أخيرا، حدد تطبيق على الجهاز.
- الخطوة 6b. في حالة انضمام نقاط الوصول (AP) مباشرة إلى وضع Bridge ولم يتم تعيين علامة موقع ونهج لها من قبل، كرر الخطوة 6 ولكن للطريقة الافتراضية.
- قم بتكوين أسلوب مصادقة dot1x aaa الذي يشير إلى محلي (مصادقة CLI AAA dot1x الافتراضي محلي).
- الخطوة 7. انتقل إلى التكوين > الأمان > AAA > قائمة طرق AAA > التفويض.
- الخطوة 8. حدد إضافة. يظهر إطار مصادقة AAA.
- الخطوة 9. اكتب اسما في اسم قائمة الطرق، وحدد تنزيل بيانات الاعتماد من النوع* المنسدلة والمحلي ل نوع المجموعة. أخيرا، حدد تطبيق على الجهاز.
- الخطوة 9 ب. في حالة انضمام نقطة الوصول مباشرة إلى وضع الجسر (أي أنها لا تنضم إلى الوضع المحلي أولا)، فكرر الخطوة 9 للطريقة الافتراضية لتنزيل بيانات الاعتماد (CLI AAA Authorization Credential-download default local).
- الخطوة 10. انتقل إلى التكوين > لاسلكي > الشبكة > توصيفات.
- الخطوة 11. حدد إضافة. يظهر ملف تخصيص إضافة شبكة.
- الخطوة 12. في صفحة عام، قم بضبط اسم ووصف لملف تخصيص الشبكة.
- الخطوة 13. تحت علامة التبويب خيارات متقدمة، حدد EAP لحقل الأسلوب.
- الخطوة 14. حدد ملف تعريف المصادقة والتفويض المعرف في الخطوتين 6 و 9، وحدد تطبيق على الجهاز.
- الخطوة 15. انتقل إلى التكوين > العلامة وملفات التعريف > ربط نقطة الوصول > ملف التعريف.
- الخطوة 16. حدد إضافة. يظهر ملف تعريف انضمام نقطة الوصول. قم بتعيين اسم ووصف لملف تعريف ربط نقطة الوصول.
- الخطوة 17. انتقل إلى علامة التبويب AP وحدد ملف تخصيص الشبكة الذي تم إنشاؤه في الخطوة 12 من القائمة المنسدلة اسم ملف تخصيص الشبكة.
- الخطوة 18. تأكد من تعيين EAP-FAST وCAPWAP DTLS للحقلين نوع EAP ونوع تخويل AP على التوالي.
- الخطوة 19. حدد تطبيق على الجهاز.
- الخطوة 20. انتقل إلى التكوين > العلامة وملفات التعريف > علامات التمييز > الموقع.
- الخطوة 21. حدد إضافة. تظهر علامة الموقع المنبثقة.
- الخطوة 22. اكتب اسما ووصفا لعلامة الموقع.
- الخطوة 23. حدد ملف تعريف ربط نقطة الوصول الذي تم إنشاؤه في الخطوة 16 من القائمة المنسدلة ملف تعريف ربط نقطة الوصول.
- الخطوة 24. في أسفل علامة الموقع المنبثقة، قم بإلغاء تحديد خانة الاختيار تمكين الموقع المحلي لتمكين القائمة المنسدلة ملف تعريف Flex.
- الخطوة 35. من القائمة المنسدلة لملف تعريف Flex، حدد ملف تخصيص Flex الذي تريد إستخدامه لنقطة الوصول.
- الخطوة 36. قم بتوصيل نقطة الوصول بالشبكة وتأكد من وجود نقطة الوصول في الوضع المحلي.
- الخطوة 37. للتأكد من أن نقطة الوصول في الوضع المحلي، قم بإصدار الأمر capwap ap mode local.
يجب أن يكون لنقطة الوصول طريقة للعثور على وحدة التحكم، إما بث L2، أو خيار DHCP رقم 43، أو دقة DNS، أو الإعداد اليدوي.
- الخطوة 38. تنضم نقطة الوصول إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC). تأكد من أنه مدرج ضمن قائمة نقاط الوصول (AP). انتقل إلى التكوين > لاسلكي > نقاط الوصول > كل نقاط الوصول.
- الخطوة 39. حدد نقطة الوصول. تظهر نقطة الوصول المنبثقة.
- الخطوة 40. حدد علامة تمييز الموقع المنشأة في الخطوة 22 تحت عامة > علامات التمييز > علامة تبويب الموقع ضمن نقطة الوصول، حدد تحديث وتطبيق على الجهاز.
- الخطوة 41. تقوم نقطة الوصول بإعادة التمهيد ويجب أن تنضم إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) في وضع Flex + Bridge.
ينضم هذا طريقة ال ap أولا في أسلوب محلي (حيث لا ينتسب هو dot1x صحة هوية) أن يطبق ال موقع بطاقة مع الشبكة أسلوب أسلوب، وبعد ذلك يحول ال ap إلى جسر أسلوب.
للانضمام إلى نقطة وصول عالقة في وضع Bridge (أو Flex+Bridge)، قم بتكوين الطرق الافتراضية (نقطة مصادقة AAA1x المحلية الافتراضية وتخويل AAA cred default local).
عندئذ يمكن لنقطة الوصول أن تصادق ويمكنك تعيين العلامات بعد ذلك.
التحقق من الصحة
تأكد من إظهار وضع نقطة الوصول على هيئة Flex + Bridge كما هو موضح في هذه الصورة.
ركضت هذا أمر من WLC 9800 CLI وبحثت عن ال ap أسلوب سمة. يجب أن يتم إدراجه على أنه Flex+Bridge.
aaa authorization credential-download mesh-ap local
aaa authentication dot1x mesh-ap local
wireless profile mesh default-mesh-profile
description "default mesh profile"
wireless tag site meshsite
ap-profile meshapjoin
no local-site
ap profile meshapjoin
hyperlocation ble-beacon 0
hyperlocation ble-beacon 1
hyperlocation ble-beacon 2
hyperlocation ble-beacon 3
hyperlocation ble-beacon 4
mesh-profile mesh-profile
استكشاف الأخطاء وإصلاحها
تأكد من وجود الأوامر aaa authentication dot1x default local وتفويض AAA الافتراضي المحلي. تكون هناك حاجة إليها إذا لم تكن نقطة الوصول الخاصة بك متصلة مسبقا في الوضع المحلي. تحتوي لوحة المعلومات 9800 الرئيسية على عنصر واجهة مستخدم يعرض نقاط الوصول غير القادرة على الانضمام. طقطقت هو أن يحصل قائمة ميلان إلى جانب من APs أن يفشل أن يتلاقى:
انقر نقطة الوصول المحددة للاطلاع على سبب عدم انضمامها. في هذه الحالة، ترى مشكلة مصادقة (مصادقة نقطة الوصول معلقة) لأن علامة الموقع لم يتم تعيينها إلى نقطة الوصول.
لذلك، لم ينتقي ال 9800 طريقة المصادقة/التخويل المسماة لمصادقة ال AP:
لاستكشاف الأخطاء وإصلاحها بشكل أكثر تقدما، انتقل إلى صفحة أستكشاف الأخطاء وإصلاحها > التتبع المشع على واجهة مستخدم الويب. إن يدخل أنت ال ap {upper}mac address، أنت يستطيع فورا ولدت مبرد أن يحصل ال دائما سجل (على إشعار مستوى) من ال ap أن يحاول أن يتلاقى. انقر فوق بدء لتمكين تصحيح الأخطاء المتقدم لعنوان MAC هذا. في المرة التالية التي يتم فيها إنشاء السجلات، قم بإنشاء السجلات، والسجلات على مستوى تصحيح الأخطاء للانضمام إلى نقطة الوصول كما هو موضح.